btzgrp
  • スクリーンショット:QuickBooksの代替ソフト5選 - TechRepublic
Headlines

真夜中のブリザードがスピアフィッシング攻撃を激化

05 mins
真夜中のブリザードがスピアフィッシング攻撃を激化

Microsoft Threat Intelligenceは、ロシアの脅威アクターMidnight Blizzardによる新たな攻撃キャンペーンを発見しました。このキャンペーンは、100以上の組織にまたがる数千人のユーザーを標的としています。この攻撃では、RDP設定ファイルを含んだスピアフィッシングメールが利用され、攻撃者は標的のシステムに接続して侵入する可能性があります。

この攻撃キャンペーンは、高等教育機関、防衛、非政府組織、政府機関の数千人のユーザーを標的としました。特に英国、ヨーロッパ、オーストラリア、日本を中心に、数十カ国が影響を受けており、これはMidnight Blizzardによる過去のフィッシングキャンペーンと一致しています。

フィッシングメールにはRDP構成ファイルが含まれていた

最新のミッドナイトブリザード攻撃キャンペーンでは、被害者は、Microsoft、Amazon Web Services、ゼロトラストの概念に関連するソーシャルエンジニアリングのルアーを使用した、非常にターゲットを絞った電子メールを受信しました。

Microsoft Threat Intelligenceによると、これらのメールは、脅威アクターが過去の侵害活動で収集した正当な組織のメールアドレスを使用して送信されました。すべてのメールには、無料のLetsEncrypt証明書で署名されたRDP構成ファイルが含まれており、そこにはいくつかの機密設定が含まれていました。

ユーザーがファイルを開くと、攻撃者が管理するシステムへのRDP接続が確立されます。確立されたRDP接続の設定により、脅威アクターは標的のシステムに関するファイルやフォルダ、接続されたネットワークドライブ、プリンタ、マイク、スマートカードなどの周辺機器などの情報を収集できるようになります。

また、クリップボードデータ、Windows Hello を使用した Web 認証、パスキーやセキュリティキー、さらには POS デバイスの収集も可能になります。このような接続により、脅威アクターは標的のシステムやマッピングされたネットワーク共有にマルウェアをインストールすることも可能になる可能性があります。

悪意のあるリモート接続。
悪意のあるリモート接続。画像: Microsoft

アウトバウンドRDP接続は、標的をAWSドメインだと騙すために作成されたドメインに対して確立されました。Amazonは、ウクライナのCERT-UAと協力してこの脅威に対抗し、影響を受けたドメインを差し押さえ、攻撃を阻止するプロセスを直ちに開始しました。一方、Microsoftは、標的または侵害を受けた影響を受けた顧客に直接通知しました。

ミッドナイトブリザードは近年、様々な分野をターゲットにしている

共同サイバーセキュリティ勧告によると、Midnight Blizzard、脅威アクターAPT29、Cozy Bear、Dukesはロシア連邦対外情報局と関係がある。

ミッドナイト・ブリザードは、少なくとも2021年以降、米国、欧州、そして世界中の防衛、テクノロジー、金融分野の組織を定期的に標的とし、サイバースパイ活動の目的を追求し、ロシアによるウクライナ侵攻の支援を含むさらなるサイバー作戦を可能にしてきました。

参照: 効果的なサイバーセキュリティ意識向上プログラムの作成方法 (TechRepublic Premium)

2024年1月、このグループはマイクロソフトとヒューレット・パッカード・エンタープライズを標的とし、複数の従業員のメールボックスにアクセスしました。事件後、マイクロソフトは、サイバー犯罪者が当初、ミッドナイト・ブリザード自体に関連する情報を得るためにメールアカウントを狙っていたと発表しました。

その後、2024 年 3 月に、脅威アクターはより多くのクラウド環境を標的とするように戦術を調整したと報告されています。

マイクロソフトによると、ミッドナイト・ブリザードは最もステルス性の高いサイバー攻撃者の1つです。マイクロソフトの別のレポートでも指摘されているように、このグループは以前、システムの再起動後に組織のエンドポイント検知・対応ソリューションを無効化していました。その後、コンピュータが再起動するまで1ヶ月間静かに待機し、パッチが適用されていない脆弱なコンピュータを攻撃しました。

脅威アクターは高度な技術も持ち合わせており、Active Directoryフェデレーションサービスサーバー上に常駐して情報を窃取する悪意のあるDLLであるMagicWebを展開していることが確認されています。このツールは、Midnight BlizzardがAD FSポリシーを回避し、任意のユーザーとしてサインインするためのトークンを生成することも可能にします。

真夜中の吹雪から身を守る方法

この脅威から保護するために、いくつかのアクションを実行できます。

  • 外部またはパブリック ネットワークへの送信 RDP 接続は禁止または制限する必要があります。
  • RDP ファイルは電子メール クライアントまたは Web メールからブロックする必要があります。
  • RDP ファイルはユーザーによる実行をブロックする必要があります。
  • 可能な場合は多要素認証を有効にする必要があります。
  • FIDOトークンなど、フィッシング耐性のある認証方法を導入する必要があります。SMSベースのMFAは、SIMジャッキング攻撃によってバイパスされる可能性があるため、使用しないでください。
  • フィッシング耐性認証を要求するには、条件付きアクセス認証強度を実装する必要があります。

さらに、疑わしいアクティビティを検知・ブロックするために、エンドポイント検知・対応(EDR)を導入する必要があります。また、脅威の検知・ブロックを支援するために、フィッシング対策およびウイルス対策ソリューションの導入も検討する必要があります。

開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。

Tagged:

Related News